而對(duì)于不能使用參數(shù)化查詢(xún)的部分（比如in、like語(yǔ)句），使用嚴(yán)格的過(guò)濾函數(shù)進(jìn)行過(guò)濾。如各模塊的搜索功能的模糊查詢(xún)語(yǔ)句："select * from aaa where Title like '%" & Keyword & "%'"，在這里會(huì)對(duì)提交過(guò)來(lái)的要害字做嚴(yán)格的過(guò)濾。

　　另外，動(dòng)易CMS2007還通過(guò)限定URL的傳遞參數(shù)類(lèi)型、數(shù)量、范圍等來(lái)防止通過(guò)構(gòu)造URL進(jìn)行惡意攻擊。

　　根據(jù)OWASP組織發(fā)布的2007年Web應(yīng)用程序脆弱性10大排名統(tǒng)計(jì)，跨站腳本、注入漏洞、跨站請(qǐng)求偽造、信息泄露等幾方面仍然是目前流行的攻擊方式。其中，跨站腳本攻擊已經(jīng)超過(guò)了SQL注入漏洞攻擊，位列首位。因?yàn)閄SS最難處理，限制得過(guò)死，正常功能也將無(wú)法使用，稍微一松，就有可能因?yàn)檫^(guò)濾不嚴(yán)而產(chǎn)生漏洞。而XSS的攻擊方式之多，可能會(huì)超乎大家的想像。我發(fā)個(gè)網(wǎng)址給大家，有愛(ài)好的人可以上去看看：http://ha.ckers.org/xss.html

　　動(dòng)易的腳本過(guò)濾函數(shù)針對(duì)上述網(wǎng)址中的攻擊方式制定了一套完整的防范方案，可以有效的防范XSS攻擊。再綜合運(yùn)用上述列舉的各種防范措施，可以最大限度的防范跨站腳本攻擊。

　　什么是跨站請(qǐng)求偽造？大家可以看看這篇文章：

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板